Las 2 entidades han revelado una falla que podría poner en peligro la seguridad de los fondos colocados en MetaMask y Phantom. Esto preocupa a ciertas personas que han utilizado el proceso de importación de frases de contraseña. Sin embargo, la vulnerabilidad se ha corregido en las 2 billeteras, por lo que se recomienda encarecidamente realizar cualquier actualización que sea necesaria.
Algunas billeteras MetaMask y Phantom comprometidas
El miércoles 15 de junio, MetaMask publicó una publicación en su blog explicando que se había descubierto una falla en una versión anterior de su billetera , lo que podría comprometer la seguridad de los fondos de los usuarios en cuestión.
Esta falla afecta exclusivamente a los usuarios que usan MetaMask en su computadora a través de un navegador, por lo que las personas que usan la aplicación móvil no se ven afectadas. Según el comunicado, la falla ha sido reparada desde la versión 10.11.3 .
Para ello, la firma anima encarecidamente a sus usuarios a realizar una actualización en caso de ser necesario . Sin embargo, esto preocuparía, a priori, solo a un puñado de usuarios de la famosa billetera Ethereum.
De hecho, según MetaMask, un usuario está potencialmente preocupado si cumple las siguientes 3 condiciones :
- Su disco duro no estaba encriptado;
- Importó su frase de recuperación secreta a una extensión del navegador MetaMask en una computadora potencialmente en riesgo;
- Si marcó la casilla ” Mostrar recuperación de frase de contraseña ” durante el proceso de importación.
Si cumple con todas estas condiciones, su billetera podría estar expuesta. El equipo de MetaMask recomienda encarecidamente, en este caso, transferir los fondos a una nueva billetera en un dispositivo seguro.
Además, la vulnerabilidad afectaría particularmente a los usuarios que usaron el método de importación en un dispositivo comprometido o robado poco tiempo después .
Sin embargo, el comunicado de prensa aclara que las personas que usan una billetera de hardware ( como Ledger) para asegurar sus fondos se salvan de este riesgo potencial . La oportunidad de recordar lo crucial que es proteger sus criptomonedas a través de este tipo de cartera.
La billetera Phantom también afectó
Phantom, una de las principales billeteras blockchain de Solana (SOL) , también se ve afectada. Según su propia nota de prensa, los parches comenzaron a aplicarse poco a poco desde enero, hasta que la falla se corrigió por completo gracias a una actualización que data de abril .
La falla se presenta de la misma manera que para la billetera MetaMask. En otras palabras, un usuario fantasma puede verse afectado una vez que haya importado su frase de contraseña desde un navegador potencialmente vulnerable .
Fue la empresa especializada en seguridad blockchain Halborn la que descubrió primero la vulnerabilidad, antes de informarla a los equipos de desarrollo de las 2 wallets. Quienes no dejaron de agradecerlo calurosamente. MetaMask optó por pagarle 50.000 dólares como recompensa .
El ingeniero de seguridad que descubrió la falla el año pasado se ha unido desde entonces a los equipos de Phantom, que, según la empresa, ha aportado un valor añadido real a la seguridad de sus usuarios:
“Estamos encantados de dar la bienvenida a Osama Amri, quien descubrió la amenaza el año pasado cuando formaba parte de Halborn. Gracias al arduo trabajo de los ingenieros Josiah Savary y Laamia Islam, no solo cambiaron partes sustanciales de nuestra base de código, sino que también reescribimos por completo la forma en que generamos frases iniciales”.
El comunicado de prensa de Phantom establece que los detalles de la vulnerabilidad no se revelaron antes para que todas las partes involucradas puedan proporcionar una solución adecuada . La firma también desea compartir el código fuente de parte de su billetera para ayudar a sus contrapartes:
“Una vez que se hayan completado auditorías adicionales este verano, planeamos abrir nuestro enfoque de paquete BIP-39 para la generación de frases iniciales. Para que otras billeteras también puedan protegerse mejor a sí mismas y a sus usuarios”.
Una vez más, nos tomamos la libertad de recordarte que la mejor seguridad para tus criptomonedas es y seguirá siendo una billetera de hardware , para que tengas el control total de tus fondos.
